학습 목표소프트웨어 공급망 위협(의존성·빌드·레지스트리·CI)을 설명할 수 있다.SBOM의 목적·형식(CycloneDX·SPDX)·생성·활용을 설명할 수 있다.SLSA 레벨과 빌드 출처(provenance)·무결성 개념을 설명할 수 있다.의존성·컨테이너 스캔을 16편 CI 게이트에 통합하는 패턴을 설명할 수 있다.아티팩트 pin·서명(digest·cosign) 개요를 설명할 수 있다.문제 상황log4j CVE — transitive 의존성 어디 쓰는지 모름·패치 수개월npm 패키지 탈취 — maintainer 계정 해킹·악성 버전 배포GitHub Action @main — 공급망 공격 시 빌드 파이프라인 침해베이스 이미지 latest — 프로덕션 에 알 수 없는 OS CVE 누적12편 vulnerable..